米国、海外製ルーター禁止　中国系TP-Linkに“異常なレベルの脆弱性”

2026年05月12日 07時00分更新

文● 小島寛明

参考画像

　米国の連邦通信委員会（FCC）が2026年3月23日から、外国製のルーターの輸入規制をはじめた。

　この日、規制の対象となる製品のリストに「外国で製造されたルーター」が追加された。規制対象は、すべての消費者向けのルーターを含む。3月23日までにFCCの承認を得ている製品については、米国に輸入・販売することは可能だが、新しい製品については、国防総省（戦争省）や国土安全保障省の条件つきの承認を得ている製品を除き、米国に輸入できなくなった。

　問題となるのは、「外国で製造」を米国政府がどう定義しているかだ。この定義については、最終組立地が米国外だけでなく、米国外で設計、開発、製造、組み立てされた製品はすべて「外国で製造」に該当するという考え方を適用している。2027年3月1日以降は、既存の製品のアップデートについても、原則として禁止される。

　セキュリティの甘い消費者向けのルーターを経由した政府システムへの不正侵入に米政府が神経をとがらせるのは理解できるが、あまりにも市場への影響の大きな措置に見える。おそらく、設計から組み立てまでのプロセスで、すべて米国製の条件を満たす製品はほぼないだろう。

　考えてみると、インターネットを契約している世帯のほぼ全てに、ルーターは設置されているはずだ。スマホ、PC、タブレット、ゲーム機、電子書籍端末など、一世帯であっても多くのデジタル端末がルーターを通じてインターネットに接続されているだけに、ルーターは現在の暮らしには欠かせない。いま、なぜルーターの輸入規制が必要なのだろうか。

TP-Linkに「異常なレベルの脆弱性」

　3月23日にFCCが公表したプレスリリースは、今回の措置について「米国の国家安全保障、または米国国民の安全と治安に容認できないリスクをもたらす」として、セキュリティへの懸念を強調している。

　背景にあるのは、中国のハッカーグループによる一連のサイバー攻撃だ。「Volt Typhoon（電圧台風）」「Salt Typhoon（塩台風）」と呼ばれるグループが、米国の重要インフラや通信事業者のネットワークに深く侵入し、長期間潜伏していたことが明らかになっている。これらの攻撃では、家庭用・中小企業向けのルーターが「踏み台」にされた。この「踏み台」とは、たとえば家庭用のルーターを乗っ取り、攻撃対象にアクセスを試みると、その家庭からのアクセスとして記録されるため、どこから攻撃されたのか、特定が難しくなる手法を指す。

　米政府や議会が特に問題があるとしているのは、通信機器大手TP-Linkのルーターだ。この会社は、米国に本社を移転しているが、もともと中国の深センで創業した経緯から、米政府には中国系の企業と受け止められている。同社のルーターについては、2024年8月に超党派の議員らが「異常なレベルの脆弱性がある」として、商務省に調査を要請している。

　また、2024年10月31日には、マイクロソフトが自社のブログでTP-Linkのルーターを名指しする形で、どのように悪用されているかを報告している。「中国の脅威アクター」が、小規模のオフィスなど複数のルーターを乗っ取り、ネットワークを構成する。そのネットワークを利用して、政府機関、防衛産業の企業、シンクタンク、法律事務所などに攻撃を仕掛ける。結果として、認証情報（IDやパスワード）の不正取得に成功した事例もあるとしている。マイクロソフトは、このネットワークを構成するルーターの大部分がTP-Link製だったと指摘している。

　TP-Linkのルーターは、米国でもよく売れている。その市場シェアは家庭・小規模オフィス向けルーターの小売市場で65%を超えるという推計もあるが、これに対しては、TP-Link自身が36.6%（2024年）だと反論している。どの数字が正確なのか判断は難しいが、いずれにしてもルーターの分野においては、輸入規制実施前の時点では、米国で最も幅広く使われているメーカーのひとつであることは間違いないだろう。米国全土で広く使われているルーターが、サイバー攻撃の「踏み台」として使われている、というのが、米国が輸入規制に踏み切ったひとつめの理由だ。

　話は横に逸れるが、ウェブメディアなどを運営するBCNの2026年の調査によれば、日本では、バッファローが53%でトップ。ヤマハ33.9%、TP-Linkが8.8%と3番目のシェアを占めている。